IPSec - End to Site / Roadwarrior

Konfiguration einer Roadwarrior-Verbindung mit IPSec

Changelog

Letzte Anpassung zur Version: 11.8

• Designanpassung
• Übersetzung

Vorherige Versionen: 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.

In dieser Schritt für Schritt Anleitung wird die Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen wird ein separates Client Programm benötigt. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet bereits einen Client für natives IPSec.

Konfiguration einer nativen IPSec Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Schritt 1 Verbindungstyp
Auswahl des Verbindungs-Typs	es stehen folgende Verbindungen zur Verfügung: Roadwarrior Site to Site	Für die Konfiguration einer Roadwarrior Verbindung wird eben diese ausgewählt.	Einrichtungsschritt 1
2 Allgemein
Name:	IPSec Roadwarrior	Name für die Verbindung	2
Verbindungstyp:	IKEv1 - Native	Mögliche Verbindungstypen: IKEv1 - L2TP IKEv1 - XAuth IKEv1 - Native IKEv2 - Native Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.
Authentifizierungsmethode:	PSK	Alternativ: * X.509 Zertifikat * RSA (Nicht bei IKEv2 !)
Pre-Shared Key:	12345	Ein beiliebiger PSK. Mit der Schaltfläche wird ein sehr starker Schlüssel erzeugt.
X.509 Zertifikat:	Server-Zertifikat	Auswahl eines Zertifikates
3 Lokal
Local Gateway ID:	eth0	Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.	3
Netzwerk freigeben:	192.168.122.0/24	Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll
4 Gegenstelle
Remote Gateway ID:	192.0.2.192 oder Mein_Roadwarrior	Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.	4
IP-Adresse(n):	192.168.222.35	IP-Adresse für den Roadwarrior. Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in Phase 2 / Subnetze eine Netzwerkadresse konfiguriert werden. Für dieses Beispiel wird das nach Beendigung des Assistenten das soeben angelegte Subnetz bearbeitet und für das Remote-Netzwerk der Wert 192.168.22.0/24 eingebtragen.
Beenden des Einrichtungsassistenten mit Fertig
Regelwerk Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.
Implizite Regeln Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.			Implizite Regeln, Abschnitt VPN Implizite Regeln, Abschnitt IPSec Traffic
Netzwerkobjekt anlegen → Firewall →PortfilterNetzwerkobjekte Objekt hinzufügen
Name:	ngrp-IPSec-Roadwarrior	Name für das IPSec-Netzwerkobjekt	Netzwerkobjekt
Typ:	VPN-Netzwerk	zu wählender Typ
Adresse:	192.168.222.0/24	Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen wurde. In diesem Beispiel also das Netzwerk 192.168.222.0/24.
Zone:	vpn-ipsec	zu wählende Zone
Gruppe:		Optional: Gruppe
Portfilter Regeln		Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird.
Quelle	internet	Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
Ziel	external-interface	Schnittstelle, auf der die Verbindung ankommt.
Dienst	ipsec	Vordefinierte Dienstgruppe für IPSec Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
Eine zweite Regel erlaubt dann dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
	IPSec Roadwarrior	Roadwarrior -Host oder -Netzwerk
	dmz1-network	Netzwerk, auf das zugegriffen werden soll.
	xyz	Gewünschter Dienst oder Dienstgruppe

Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

Bei Verwendung des bintec-elmeg-Clients müssen z.B. die Parameter

• Diffie-Hellman Group: (UTM) bzw. IKE-DH-Gruppe (bintec) und
• DH-Gruppe (PFS) (UTM) bzw. IKE DH-Gruppe (bintec)

entweder in der UTM oder im bintec-Client angepasst werden.
Bei Verwendung von IKEv1 muss außerdem der

• Austausch-Modus

im bintec-Client auf den sicheren Main Mode (IKEv1) eingestellt werden.